Bulut Bilişimde Kişisel Verilerin Korunması

İÇİNDEKİLER

ÖNSÖZ 7
FOREWORD 9
KISALTMALAR 15

GİRİŞ 17

BİRİNCİ BÖLÜM
GENEL OLARAK BULUT BİLİŞİM

§ 1. BULUT BİLİŞİM İLE İLGİLİ TEMEL BİLGİLER 21
I. BULUT BİLİŞİM KAVRAMI 21
II. BULUT HİZMETİ MODELLERİ 25
III. BULUT BİLİŞİMİN AVANTAJLARI 31

§ 2. BULUT BİLİŞİM SÖZLEŞMESİ 33
I. GENEL OLARAK BULUT BİLİŞİM SÖZLEŞMESİ 33
II. BULUT BİLİŞİM SÖZLEŞMESİNİN HUKUKİ NİTELİĞİ 35

§ 3. BULUT BİLİŞİMİN DEZAVANTAJLARI 38

§ 4. BULUT BİLİŞİM İLE İLGİLİ HUKUKİ SORUNLAR 39
I. BULUT BİLİŞİM SÖZLEŞMESİNİN GEÇERLİLİĞİ
İLE İLGİLİ SORUNLAR 39
II. BULUT BİLİŞİM SÖZLEŞMESİNE UYGULANACAK HUKUKUN VE YETKİLİ MAHKEMENİN TESPİTİ SORUNU 40
III. BULUT BİLİŞİM SÖZLEŞMESİNDEKİ TAHKİM ŞARTININ GEÇERLİLİĞİ SORUNU 43
IV. BULUT BİLİŞİM SÖZLEŞMESİNDEKİ SORUMSUZLUK KAYITLARININ GEÇERLİLİĞİ SORUNU 44
V. BULUT BİLİŞİM SÖZLEŞMESİNİN SONA ERMESİ VE BULUTUN SAHİBİNİN DEĞİŞMESİ İLE İLGİLİ SORUNLAR 44
VI. DEĞİŞEBİLİR HİZMET ŞARTLARI İLE İLGİLİ SORUNLAR 47
VII. BULUTTAKİ VERİLERE YÖNELİK MAHKEME EMRİNİN YERİNE GETİRİLMESİ VE ÜÇÜNCÜ KİŞİLERİN BULUTTAKİ VERİLERE ERİŞİMİ İLE İLGİLİ SORUNLAR 48
VIII. DİĞER KONULAR İLE İLGİLİ SORUNLAR 52

İKİNCİ BÖLÜM
BULUT BİLİŞİM VE KİŞİSEL VERİLER

§ 1. BULUT BİLİŞİM VE VERİ KORUMA İLE İLGİLİ YASAL DÜZENLEMELER 57
I. AMERİKAN HUKUKUNDAKİ DÜZENLEMELER 58
II. AVRUPA BİRLİĞİ HUKUKUNDAKİ DÜZENLEMELER 62
III. DİĞER ÜLKELERDEKİ DÜZENLEMELER 72
IV. TÜRK HUKUKUNDAKİ DÜZENLEMELER 73

§ 2. GENEL OLARAK KİŞİSEL VERİ 86
I. KİŞİSEL VERİ KAVRAMI 86
II. HASSAS VERİ KAVRAMI 91
III. KİŞİSEL VERİLERİN İŞLENMESİ 93

§ 3. BULUTTA HANGİ VERİLERİN KİŞİSEL VERİ TEŞKİL EDECEĞİNİN BELİRLENMESİ SORUNU 98
I. ANONİM HALE GETİRİLMİŞ KİŞİSEL VERİ VE TAKMA ADLI VERİ 98
II. ŞİFRELENMİŞ KİŞİSEL VERİ 104
III. BÖLÜMLERE AYRILMIŞ KİŞİSEL VERİ 109
IV. SİLİNMİŞ KİŞİSEL VERİLER 109
V. ÜÇÜNCÜ KİŞİLER VE HİZMET SAĞLAYICI TARAFINDAN ERİŞİLEBİLEN KİŞİSEL VERİLER 111

§ 4. VERİ KORUMA DİREKTİFİ UYARINCA BULUTTAKİ KİŞİSEL VERİLERE UYGULANACAK HUKUK 113
I. KURULUŞ YERİ 117
II. FAALİYET 120
III. CİHAZLAR 124
IV. DİĞER HUSUSLAR 126
A. Çerezler 126
B. Veri Merkezleri 127
C. Transit Geçiş 129
D. Veri İşlemenin Güvenliğinin Sağlanması ile İlgili Yükümlülüklerde Uygulanacak Hukuk 131
V. AVRUPA BİRLİĞİ ADALET DİVANI’NIN GOOGLE İSPANYA KARARI IŞIĞINDA VERİ KORUMA DİREKTİFİ’NDEKİ KAVRAMLAR VE UYGULANACAK HUKUK 132

ÜÇÜNCÜ BÖLÜM
BULUT BİLİŞİMDE AKTÖRLER VE SORUMLULUKLARI
§ 1. VERİ KONTROLÖRÜ VE VERİ İŞLEYEN KAVRAMLARI 137

§ 2. VERİ KONTROLÖRÜ VE VERİ İŞLEYEN OLARAK BULUT HİZMETİ SAĞLAYICI VE BULUT KULLANICISI 143

§ 3. BULUT HİZMETİ SAĞLAYICININ VE BULUT KULLANICISININ SORUMLULUKLARI 153
I. AVRUPA BİRLİĞİ HUKUKUNDAKİ DURUM 153
II. TÜRK HUKUKUNDAKİ DURUM 155

DÖRDÜNCÜ BÖLÜM
BULUTTAKİ VERİLERİN GİZLİLİĞİ VE GÜVENLİĞİ

§ 1. BULUTTAKİ VERİLERİN GİZLİLİĞİ 159

§ 2. BULUTTAKİ VERİLERİN TRANSFERİ VE GİZLİLİK 167

§ 3. BULUTTAKİ VERİLERİN GÜVENLİĞİ 175

§ 4. BULUTTA GÜVENLİĞİN SAĞLANMASI VE ALINABİLECEK GÜVENLİK ÖNLEMLERİ 180
I. GENEL OLARAK BULUTTA GÜVENLİĞİN SAĞLANMASI VE AVRUPA BİRLİĞİ HUKUKUNDAKİ DÜZENLEMELER 180
II. TÜRK HUKUKUNDAKİ DÜZENLEMELER 185

§ 5. BULUT BİLİŞİMDE GİZLİLİK VE GÜVENLİK İÇİN STANDARTLARIN GETİRİLMESİ 189

SONUÇ 195

KAYNAKLAR 199

KAYNAKLAR

AKGÜL, Aydın, “Kişisel Verilerin Korunması Bağlamında Biyo­metrik Yöntemlerin Kullanımı ve Danıştay Yaklaşımı”, Türkiye Barolar Birliği Dergisi, 2015(118), s.199-222.

AKKURT, Sinan Sami, “Elektronik Ortamda Hizmet Sunumu ve Buna İlişkin Sözleşmelerin Hukuki Özellikleri”, AÜHFD, 60(1), 2011, s.19-46.

ALLEN&OVERY, The EU General Data Protection Regulation is Finally Agreed, 2016, http://www.allenovery.com/SiteCollection Documents/Radical%20changes%20to%20European%20data%20protection%20legislation.pdf (Erişim 06.03.2016).

ALTAN AKIN, N. Tuğbagül, “Bulut Bilişimde Kişisel Verilerin Güvenliği ve Mahremiyet Nasıl Sağlanabilir?”, XIX.Türkiye’de İnternet Konferansı, 27-29 Kasım 2014, Yaşar Üniversitesi İzmir, http:// inet-tr.org.tr/inetconf19/bildiri/101.pdf (Erişim 26.02.2016).

ANDERSON, Brian, “The Difference Between Data Privacy and Data Security”, EIQ Networks Blog, http://blog.eiqnetworks.com/ blog/bid/313892/The-Difference-Between-Data-Privacy-and-Data-Security (Erişim 30.01.2016).

ANDERSON, Ross, Security Engineering: A Guide to Building Dependable Distributed Systems, 2nd Edition, Indianapolis: John Wiley & Sons, 2008.

ANGELES, Sara, “Virtualization vs. Cloud Computing: What’s the Difference?”, January 20, 2014, Business News Daily, http:// www.businessnewsdaily.com/5791-virtualization-vs-cloud-computing.html (Erişim 17.12.2014).

ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines on the Implementation of the Court of Justice of the European Union Judgment on Google Spain and Inc v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja Gonzáles, 14/EN, WP 225, Adopted on 26 November 2014, http:// ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp225_en.pdf (Erişim 19.02.2015).

ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 1/2008 on Data Protection Issues Related to Search Engines, 00737/EN, WP 148, Adopted on 4 April 2008, http://ec.europa.eu/justi­ce/policies/privacy/docs/wpdocs/2008/wp148_en.pdf (Erişim 23.02.2015) (WP 148).

ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 1/2010 on the concepts of “controller” and “processor”, 00264/10/EN, WP 169, Adopted on 16 February 2010, http://ec. europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf (Erişim 04.01.2015) (WP 169).

ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 15/2011 on the Definition of Consent, 01197/11/EN, WP187, Adopted on 13 July 2011, http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2011/wp187_en.pdf (Erişim 21.04.2016).

ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 4/2007 on the Concept of Personal Data, 01248/07/EN, WP 136, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/ wp136_en.pdf (Erişim 06.01.2016), (WP 136).

ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 5/2009 on Online Social Networking, 01189/09/EN, WP 163, Adopted on 12 June 2009, http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2009/wp163_en.pdf (Erişim23.02.2015) (WP 163).

ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 5/2012 on Cloud Computing, 01037/12/EN, WP 196, Adopted July 1st 2012, http://ec.europa.eu/justice/data-protection/ article-29/documentation/opinion-recommendation/files/2012/wp196_ en.pdf (Erişim 10.01.2016) (WP 196).

ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 8/2010 on Applicable Law, 0836-02/10/EN, WP 179, Adopted on 16 December 2010, http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2010/wp179_en.pdf (Erişim 21.02.2015) (WP 179).

ARTICLE 29 DATA PROTECTION WORKING PARTY, Update of Opinion 8/2010 on Applicable Law in light of the CJEU Judgement in Google Spain, 176/16/EN, WP 179 update, Adopted on 16 December 2015, file:///D:/CLOUD%20COMPUTING/Mevzuat/wp 179_en_update%20_%20yeni%20hali%202015.pdf (Erişim 06.02.2016) (WP 179 Update).

ARTICLE 29 DATA PROTECTION WORKINGPARTY, Opinion 10/2006 on the Processing of Personal Data by the Society for Worldwide Interbank Financial Telecommunication (SWIFT), 01935/06/EN, WP 128, Adopted on 22 November 2006, http://ec. europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp128_en.pdf (Erişim 12.02.2015) (WP 128).

AUSTRALIAN GOVERNMENT INFORMATION MANAGEMENT OFFICE, Negotiating the Cloud-Legal Issues in Cloud Computing Agreements, February 2013, http://trove.nla.gov.au/work/ 187177699?selectedversion=NBD52192865 (Erişim 28.02.2016).

AYDIN, İsmail/KILIÇ, Recep/GEREHAN, A.Zeki, “Askeri Alanda Bulut Sistemi Kullanımına Güvenlik Yaklaşımları”, 6. Uluslararası Bilgi Güvenliği ve Kriptoloji Konferansı Bildiriler Kitabı, 20-21 Eylül 2013, Ankara, s.246-249.

BAŞALP, Nilgün, Kişisel Verilerin Korunması ve Saklanması, Yetkin Yayınevi, Ankara 2004.

BAŞGÜL, Mürsel/CHOUSEİNOGLOU, Oumout, “Bulut Bilişim Kapsamında Ortaya Çıkabilecek Hukuki Sorunlar”, 6.Uluslararası Bilgi Güvenliği ve Kriptoloji Konferansı Bildiriler Kitabı, Ankara 2013, s.210-215, http://www.iscturkey.org/s/2226/i/2013-paper103. pdf (Erişim 15.02.2016).

BAŞTÜRK İhsan, “Türk Ticaret Kanunu’nda Bilişim Yoluyla Haksız Rekabetin Hukuki-Cezai Sonuçları”, Türkiye Adalet Akademisi Dergisi, C.1, Y. 2, S. 6, 2011, s.279-320.

BAYKASOĞLU, Adil/ DERELİ, Türkay, Üretimde Bilgi Teknolojisi Yöntemleri, Kırmızı Yayınları, İstanbul 2006.

BIRNHACK, Michael D., “The EU Data Protection Directive: An Engine of a Global Regime”, 24(6) Computer Law & Security Report 2008, http://law.bepress.com/cgi/viewcontent.cgi?article= 1102&context=taulwps (Erişim 26.01.2015).

BİLGİ TEKNOLOJİLERİ ve İLETİŞİM KURUMU, Bulut Bilişim, Ankara 2013.

BOZKURT YÜKSEL, Armağan Ebru, “Nesnelerin İnternetinin Hukuki Yönden İncelenmesi”, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi, C.17, S.2, Y.2015, Basım Nisan 2016, s.113-139.

BOZKURT YÜKSEL, Armağan Ebru, “İnternet ve Unutulma Hakkı”, İzmir 4.Uluslararası Bilişim Hukuku Kurultayı 12-14 Mayıs 2016 Bildiriler Kitabı, Gülermat Matbaacılık, İzmir 2016, s.23-43.

BRADSHAW, Simon//MILLARD, Christopher/WALDEN, Ian, “Standard Contracts for Cloud Services”, Cloud Computing Law, Editör Christopher Millard, Oxford University Press, Croydon 2013, s.40-72 (Standard Contracts for Cloud Services).

BUYYA, Rajkumar/YEO, Chee Shin/VENUGOPAL, Srikumar/ BROBERG, James/BRANDIC, Ivona, “Cloud Computing and Emerging IT Platforms: Vision, hype, and reality for delivering computing as the 5th utility”, Future Generation Computer Systems, C.25, Y.2009, s.599-616.

BYGRAVE, Lee Andrew, “Core Principles of Data Privacy Law”, Data Privacy Law: An International Perspective, Oxford 2014, s.146-168.

BYGRAVE, Lee Andrew, “Oversight and Enforcement of Data Privacy Law”, Data Privacy Law: An International Perspective, Oxford University Press 2014, s.171-204.

CANTÜRK, Sinem, “Bulut Bilişim ve Bankacılık Sektörü”, http:// www.kpmg.com/TR/tr/hizmetlerimiz/Audit/irm/Documents/KPMG-Gun­dem-14-Bulut-Bilisim-ve-Bankacilik-Sektoru.pdf (Erişim 18.03.2015).

CAREY, Peter, Data Protection, A Practical Guide to UK and EU Law, Oxford University Press, Great Britain 2004.

CENTER for DEMOCRACY and TECHNOLOGY, FAQ: HIPAA and Cloud Computing (v1.0), https://cdt.org/files/pdfs/FAQ-HIPAAandCloud.pdf (Erişim 01.02.2016).

CISCO, “State Government Deploys Private Cloud to Provide Services to Agencies”, http://www.cisco.com/c/dam/en/us/solutions/ collateral/data-center-virtualization/state_of_alaska_cs.pdf (Erişim 22.11.2014).

CLOUD STANDARDS CONSUMER COUNCIL, Interoperability and Portability for Cloud Computing: A Guide, http://www. cloud-council.org/deliverables/CSCC-Interoperability-and-Portability-for-Cloud-Computing-A-Guide.pdf (Erişim 06.03.2016).

CLOUD STANDARDS CUSTOMER COUNCIL, Practical Guide to Cloud Service Agreements Version 2.0, April 2015, http:// www.cloud-council.org/deliverables/CSCC-Practical-Guide-to-Cloud-Service-Agreements.pdf.

COMMISSION OF THE EUROPEAN COMMUNITIES, Communication from The Commission to the European Parliament and The Council on Promoting Data Protection by Privacy Enhancing Technologies (PETs), Brussels, 2.5.2007, COM(2007) 228 final, http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX: 52007DC0228&from=EN (Erişim 27.01.2016).

COMPUTER WORLD UK, “Data Protection, the law and you”, Cloud Vision, April 13, 2011, www.computerworlduk.com/blogs/ cloud-vision/data-protection-the-law-and-you-3570946/ (Erişim 09.01.2016).

COUNCIL of the EUROPEAN UNION, “Data protection package - Report on progress achieved under the Cyprus Presidency”, 16525/1/12 REV 1, Brussels 03.12.2012, http://www.huntonregu­lationtracker.com/files/Uploads/Documents/EU%20Data%20Protection%20Reg%20Tracker/Progress_report_Cypriot_Presidency.pdf (Erişim 02.02.2015).

COURT of JUSTICE of the EUROPEAN UNION, Press Release No 117/15 Luxembourg, 6 October 2015 Judgment in Case C-362/14 Maximillian Schrems v Data Protection Commissioner, http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf (Erişim 26.01.2017).

CUSTOM SOLUTIONS GROUP, “Data Security in the Cloud”, http://www.vormetric.com/sites/default/files/wp-data-security-in-the-cloud.pdf (Erişim 19.02.2016).

DE CAPITANI DI VIMERCATI, Sabrina/ERBACHER, Robert F./FORESTI, Sara/JAJODIA, Sushil/LIVRAGA, Giovanni/ SAMARATI, Pierangela, “Encryption and Fragmentation for Data Confidentiality in the Cloud”, Springer-Verlag, Lecture Notes in Computer Science, 2008, http://spdp.di.unimi.it/papers/defjls-fosad14. pdf (Erişim 10.01.2016).

DIAL, Audra A./MOYE, John M., “Trade Secrets in the Cloud: Assessing and Mitigating the Risks”, Journal of Internet Law, Volume 17, Number 11 May 2014.

DMTF, “Interoperable Clouds”, A White Paper from the Open Cloud Standards Incubator, http://www.dmtf.org/sites/default/files/ standards/documents/DSP-IS0101_1.0.0.pdf (Erişim 23.01.2015).

DROPBOX HELP CENTER, “How Secure is Dropbox?”, https://www.dropbox.com/help/27 (Erişim 12.02.2015).

DROZDIAK, Natalia/SCHECHNER, Sam, “EU Court Says Data-Transfer Pact with U.S. Violates Privacy”, The Wall Street Journal, Yayınlanma tarihi 06.10.2015, http://www.wsj.com/articles/eu-court-strikes-down-trans-atlantic-safe-harbor-data-transfer-pact-1444121361 (Erişim 25.01.2016).

DÜLGER, Murat Volkan, “Sağlık Hukukunda Kişisel Verilerin Korunması ve Hasta Mahremiyeti”, Yayınlanma tarihi 14.04.2015, http://www.hukukgunlugu.org/saglik-hukukunda-kisisel-verilerin-korunmasi-ve-hasta-mahremiyeti/ (Erişim 17.01.2016).

DÜLGER, Murat Volkan, Bilişim Suçları ve İnternet İletişim Hukuku, Seçkin Yayınevi, Ankara 2015.

ECKHARDT, Drew, “Why Does Dropbox Still Use Amazon S3 to Store Data Instead of Building Its Own Data Center?”, Güncelleme 8 Aralık 2014, http://www.quora.com/Why-does-Dropbox-still-use-Amazon-S3-to-store-data-instead-of-building-its-own-data-center (Erişim 12.02.2015).

EDWARDS, Lilian, “Privacy and Data Protection Online: The Laws Don’t Work?”, Law and the Internet, Editor Lilian Edwards and Charlotte Waelde, Hart Publishing, Great Britain, 2009, s.443-488.

EDWARDS, Lilian/BROWN, Ian, “Data Control and Social Networking: Irreconcilable Idea?”, Editör A.Matwyshyn, Harboring Data: Information Security, Law and the Corporation, Stanford University Press 2009.

ENISA, “Cloud Computing-Benefits, Risks and Recommendations for Information Security”, November 2009, file:///D:/ CLOUD% 20COMPUTING/Cloud%20Computing%20Security%20Risk%20Assessment.pdf (Erişim 22.01.2015).

ENISA, Cloud Computing-Benefits, Risks and Recommendations for Information Security, 2009, https://www.enisa.europa.eu/act/rm/ files/deliverables/cloud-computing-risk-assessment/at_download/full­Report (Erişim 15.03.2016).

ERGİN, Oğuz, “Kamuda Bulut Bilişim”, www.tbd.org.tr/usr_ img/kamu_bib/CG1-2012.ppt (Erişim 19.03.2015).

ESAYAS, Samson Yoseph, “A Walk into the Cloud and Cloudy It Remains: The Challenges and Prospects of Processing and Transferring Personal Data”, Computer Law & Security Review, Y.2012, N.28, s.662-678.

ESSERS, Loek, “Berlin Court: Apple’s Privacy Policy Violates German Data Protection Law”, May 7, 2013, http://www.macworld. com/article/2038070/apples-privacy-policy-violates-german-data-pro­tection-law-berlin-court-rules.html (Erişim 23.02.2015).

ETSI, Cloud Standards Coordination Final Report, November 2013, Version 1.0, file:///D:/CLOUD%20COMPUTING/Mevzuat/ CloudStandardsCoordination-FinalReport.pdf (Erişim 14.03.2016).

EUROPEAN COMMISSION DIRECTORATE-GENERAL JUSTICE, FREEDOM and SECURITY, “Comparative Study on Different Approaches to New Privacy Challenges, In Particular in the Light of Technological Developments”, Final Report, LRDP Kantor Ltd in association with Centre for Public Reform, 2010, http://ec. europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf (Erişim 15.02.2016).

EUROPEAN COMMISSION INFORMATION SOCIETY and MEDIA, “The Future of Cloud Computing - Opportunities for European Cloud Computing Beyond 2010”, Expert Group Report, http://cor­dis.europa.eu/fp7/ict/ssai/docs/cloud-report-final.pdf (Erişim 22.01.2015).

EUROPEAN COMMISSION PRESS RELEASE, “Commission proposes a comprehensive reform of data protection rules to increase users’ control of their data and to cut costs for businesses,” Brussels 25.01.2012, http://europa.eu/rapid/press-release_IP-12-46_en.htm (Erişim 30.01.2015).

EUROPEAN COMMISSION, “Analysis and Impact Study on the Implementation of Directive EC95/46 in Member States”, http:// ec.europa.eu/justice/policies/privacy/docs/lawreport/consultation/technical-annex_en.pdf (Erişim 06.02.2016).

EUROPEAN COMMISSION, “COM(2012)09 final, Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions - Safeguarding Privacy in a Connected World A European Data Protection Framework for the 21st Century”, Brussels 25/01/2012, http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri= CELEX:52012DC0009&from=en (Erişim 30.01.2015).

EUROPEAN COMMISSION, “COM(2012)10 final, Proposal for a Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data”, Brussels 25.01.2012, http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri= CELEX:52012PC0010&from=en (Erişim 30.01.2015).

EUROPEAN COMMISSION, “COM(2012)11 final, Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)”, Brussels 25.01.2012, http://ec.europa.eu/justice/data-pro­tection/document/review2012/com_2012_11_en.pdf (Erişim 30.01.2015).

EUROPEAN COMMISSION, “Communication from The Commission to the European Parliament, The Council, the European Economic and Social Committee and the Committee of the Regions, a Digital Agenda for Europe”, Brussels 19.5.2010, COM(2010)245 final, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM: 2010:0245:FIN:EN:PDF (Erişim 02.02.2015).

EUROPEAN COMMISSION, “Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions - Unleashing the potential of cloud computing in Europe”, COM(2012)529 final, Brussels 27.09.2012, http://eur-lex.europa.eu/LexUriServ/Lex UriServ.do?uri=COM:2012:0529:FIN:EN:PDF (Erişim 31.01.2015).

EUROPEAN COMMISSION, “EU Commission and United States agree on new framework for transatlantic data flows: EU-US Privacy Shield”, European Commission Press Release, Strasbourg 2 February 2016, http://europa.eu/rapid/press-release_IP-16-216_en.htm (Erişim 19.02.2016).

EUROPEAN COMMISSION, “Report on the public consultation for H2020 Work Programme 2016-17: Cloud Computing and Software”, Web-based consultation: 10 September-17 October 2014 Workshop Date:4 November 2014, Final version, Rapporteur: David Griffin, http://ec.europa.eu/information_society/newsroom/cf/dae/ document.cfm?doc_id=8161 (Erişim 03.02.2015).

EUROPEAN COMMISSION, Communication from the Commission to the European Parliament, the Council, the Economic and Social Committee and the Committee of the Regions, Brussels, 4.11.2010 COM(2010)609 final, http://ec.europa.eu/justice/news/con­sulting_public/0006/com_2010_609_en.pdf (Erişim 15.02.2016).

EUROPEAN PARLIAMENT COMMITTEE on LEGAL AFFAIRS, “Draft Opinion of the Committee on Legal Affairs for the Committee on International Trade on the draft Council decision on the conclusion of the Anti-Counterfeiting Trade Agreement between the European Union and its Member States, Australia, Canada, the Republic of Korea, the United States of America, Japan, the Kingdom of Morocco, the United Mexican States, New Zealand, the Republic of Singapore and the Swiss Confederation” (12195/2011 – C7-0027/2012 – 2011/0167(NLE)), Rapporteur: Marielle Gallo, Yayınlanma tarihi 10.04.2012, http://www.europarl.europa.eu/sides/get Doc. do?pubRef=-//EP//NONSGML+COMPARL+PE-487.684+01+ DOC+ PDF+V0//EN&language=EN (Erişim 02.02.2015).

EUROPEAN PARLIAMENT COMMITTEE on the INTERNAL MARKET and CONSUMER PROTECTION, “Draft Opinion of the Committee on the Internal Market and Consumer Protection for the Committee on Civil Liberties, Justice and Home Affairs on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)”, (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)), Rapporteur: Lara Comi, Yayınlanma tarihi 25.09.2012, http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2F%2FEP%2F%2FNONSGML%2BCOMPARL%2BPE-496.497% 2B01%2BDOC%2BPDF%2BV0%2F%2FEN (Erişim 01.02.2015).

FEDERAL TRADE COMMISSION, “Start With Security A Guide for Business Lessons Learned from FTC Cases”, https://www. ftc.gov/system/files/documents/plain-language/pdf0205-startwithsecurity.pdf (Erişim 04.03.2016).

FISCHL, Thomas/WEIMER, Katharina A., “Cloud Computing-A German Perspective”, Transcending the Cloud, A Legal Guide to the Risks and Rewards of Cloud Computing, ReedSmith, http:// www.reedsmith.com/files/Publication/cf6df614-498c-4c92-979c-454346c15369/Presentation/PublicationAttachment/131ec3c6-65ff-45e4-bca1-f5628e478465/Cloud%20Computing%20-%20Germany %20Chapter%20ONLY%20-%2008.12.10.pdf (Erişim 04.01.2015).

FISHER, Stacy, “33 Free Cloud Storage Services”, December 2014, http://freebies.about.com/od/computerfreebies/tp/free-cloud-storage.htm, (Erişim 06.12.2014).

GELLMAN, Robert, “Privacy in the Clouds: Risks to Privacy and Confidentiality from Cloud Computing”, World Privacy Forum, February 23, 2009, http://www.worldprivacyforum.org/www/ wprivacy­forum/pdf/WPF_Cloud_Privacy_Report.pdf (Erişim 17.03.2015).

GILBERT, Francoise, “The Proposed EU Data Protection Regulation and Its Impacts on Cloud Users”, http://searchcloud­security.techtarget.com/tip/The-proposed-EU-data-protection-regulation-and-its-impact-on-cloud-users (Erişim 15.04.2016).

GÜNGÖR, Gülin, “Yeni Düzenleme Çalışmalarında Elektronik Akitlerin Kuruluşu ve Click-Wrap Yazılım Lisansı Sözleşmelerinde Hukuk Seçimi Kaydı”, AÜHFD, C.51, S.1, Y.2002, s.19-42.

HAFIZOĞULLARI, Zeki/ÖZEN, Muharrem, “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar”, Ankara Barosu Dergisi, Y.67, S.4, Güz 2009, s.9-22.

HAMILTON, Coman, “How the Safe Harbour Ruling is Wreaking Havoc on Cloud Computing”, Yayınlanma tarihi 13.10.2015, https://jaxenter.com/safe-harbour-ruling-wreaking-havoc-cloud-computing-121425.html (Erişim 26.01.2016).

HAZDRA, Scott, “Creating Your First Cloud Policy”, Network World, Yayınlanma Tarihi 23.08.2013, http://www.networkworld. com/article/2169329/tech-primers/creating-your-first-cloud-policy. html (Erişim 14.03.2016).

HENKOĞLU, Turgay/KÜLCÜ, Özgür, “Bilgi Erişim Platformu Olarak Bulut Bilişim: Riskler ve Hukuksal Koşullar Üzerine Bir İnceleme”, Bilgi Dünyası, S.14(1), Y.2013, s.62-86.

HENKOĞLU, Türkay, Bilgi Güvenliği ve Kişisel Verilerin Korunması, Yetkin Yayınevi, Ankara 2015.

HON, W. Kuan /MILLARD, Christopher, “How do Restrictions on International Data Transfers Work in Clouds?”, Cloud Computing Law, Editör Christopher Millard, Oxford University Press, Croydon 2013, s.255-282 (How do Restrictions on International Data Transfers Work in Clouds?).

HON, W. Kuan/MILLARD, Christopher, “Cloud Technologies and Services”, Cloud Computing Law, Editör Christopher Millard, Oxford University Press, Croydon 2013, s.4-17 (Cloud Technologies and Services).

HON, W. Kuan/MILLARD, Christopher, “Control, Security, and Risk in the Cloud”, Cloud Computing Law, Editör Christopher Millard, Oxford University Press, Croydon 2013, s.19-36 (Control, Security and Risk in the Cloud).

HON, W. Kuan/MILLARD, Christopher/WALDEN, Ian, “Negotiated Contracts for Cloud Services”, Cloud Computing Law, Editör Christopher Millard, Oxford University Press, Croydon 2013, s.74-107 (Negotiated Contracts).

HON, W. Kuan/MILLARD, Christopher/WALDEN, Ian, “What is Regulated as Personal Data in Clouds?”, Cloud Computing Law, Editör Christopher Millard, Oxford University Press, Croydon 2013, s.168-192 (What is Regulated as Personal Data in Clouds?).

HON, W. Kuan/MILLARD, Christopher/WALDEN, Ian, “Who is Responsible for Personal Data in Clouds?”, Cloud Computing Law, Editör Christopher Millard, Oxford University Press, Croydon 2013, s.194-219 (Who is Responsible for Personal Data in Clouds?).

HON, W.Kuan/HÖRNLE, Julia/MILLARD, Christopher, “Which Law(s) Apply to Personal Data in Clouds?”, Cloud Computing Law, Editör Christopher Millard, Oxford University Press, Croydon 2013, s.221-253 (Which Law(s) Apply to Personal Data in Clouds?).

HRYNASZKIEWICZ, Iain, “Prepearing Raw Clinical Data for Publication: Guidance for Journal Editors, Authors, and Peer Reviewers”, 2010, BMJ 2010, 340:c181, http://www.bmj.com/ content/340/bmj.c181 (Erişim 18.03.2016).

HUNTON&WILLIAMS, The Proposed EU General Data Protection Regulation, A Guide for in-house Lawyers, June 2015, https://www.huntonregulationtracker.com/files/Uploads/Documents/EU%20Data%20Protection%20Reg%20Tracker/Hunton_Guide_to_the_EU_General_Data_Protection_Regulation.pdf (Erişim 20.03.2016).

HURWITZ, Judith/BLOOR, Robin/KAUFMAN, Marcia/ HALPER, Fern, Cloud Computing for Dummies, Wiley Publishing, Inc., Indianapolis 2010.

HUSTINX, Peter, “Data Protection and Cloud Computing under EU Law”, Third European Cyber Security Awareness Day, BSA European Parliament, 13 April 2010, Panel IV: Privacy and Cloud Computing, https://secure.edps.europa.eu/EDPSWEB/webdav/shared/ Documents/EDPS/Publications/Speeches/2010/10-04-13_Speech_ Cloud_Computing_EN.pdf (Erişim 03.02.2016).

IBM, Grid Computing Nedir?, http://www-05.ibm.com/tr/ solutions/edu/grid.html (Erişim 17.12.2014).

ICO, Anonymisation: Managing Data Protection Risk Code of Practice, https://ico.org.uk/media/for-organisations/documents/1061/ anonymisation-code.pdf (Erişim 18.03.2016) (Anonymisation).

ICO, Data Controllers and Data Processors: What the Difference is and What the Governance Implications Are, https://ico.org.uk/ media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf (Erişim 07.02.2016).

ICO, Deleting Personal Data, https://ico.org.uk/media/for-organi­sations/documents/1475/deleting_personal_data.pdf, (Erişim 11.01.2016).

ICO, Guidance on the Use of Cloud Computing, https://ico. org.uk/media/for-organisations/documents/1540/cloud_computing_ guidance_for_organisations.pdf (Erişim 18.03.2016).

ICO, Personal Information Online Code of Practice, https://ico. org.uk/media/for-organisations/documents/1591/personal_informa­tion_online_cop.pdf (Erişim 15.03.2016).

IDC, Quantative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Uptake, Smart 2011/0045, D4-Final Report, July 13th, 2012, http://ec.europa.eu/information_society/ newsroom/cf/dae/document.cfm?doc_id=1115 (Erişim 02.01.2016).

IRS, Privacy, Confidentiality and Civil Rights, Publication 4299 (rev.9-2015) Catalog Number 381 28T Department of the Treasury Internal Revenue Service, https://www.irs.gov/pub/irs-pdf/p4299.pdf (Erişim 23.01.2016).

JISC LEGAL INFORMATION, User Guide: Cloud Computing Contracts, SLAs and Terms&Conditions of Use, August 2011, http://www.webarchive.org.uk/wayback/archive/20150703224546/http://www.jisclegal.ac.uk/ManageContent/ViewDetail/ID/2141/User-Guide-Cloud-Computing-Contracts-SLAs-and-Terms-Conditions-of-Use-31082011.aspx (Erişim 04.01.2015).

KAYA, Cemil, “Avrupa Birliği Veri Koruma Direktifi Ekseninde Hassas (Kişisel) Veriler ve İşlenmesi”, İÜHFM, C.69, S.1-2, 2011, s.317-334.

KERTESZ, Attila/VARADI, Szilvia, “Legal Aspects of Data Protection in Cloud Federations”, Security, Privacy and Trust in Cloud Systems, Editors Surya Nepal, Mukaddim Pathan, Springer, Verlag Berlin Heidelberg 2014, s.433-455.

KESAN, Jay P./HAYES, Carol M./BASHIR, Masooda N., “Cloud Services, Contract Terms, and Legal Rights”, Journal of Internet Law, Volume 17, Number 6, December 2013.

KESER BERBER, Leyla, Çevrimiçi Davranışsal Reklamcılık (Online Behavioral Advertising) Uygulamaları Özelinde Kişisel Verilerin Korunması, XII Levha Yayıncılık, İstanbul 2014.

KESER, Leyla/KAYA, Mehmet Bedii/KINIKOĞLU, Batu, Türkiye’de Kişisel Verilerin Korunmasının Hukuki ve Ekonomik Analizi, İstanbul Bilgi Üniversitesi ve Türkiye Ekonomi Politikaları Araştırma Vakfı, Yayınlanma tarihi 21.05.2014, http://www.tepav. org.tr/upload/files/1421853130-9.Turkiyede_Kisisel_Verilerin_Ko­runmasinin_Ekonomik_ve_Hukuki_Analizi.pdf (Erişim 18.03.2016).

KILINÇ, Doğan, “Anayasal Bir Hak Olarak Kişisel Verilerin Korunması”, Ankara Üniversitesi Hukuk Fakültesi Dergisi, 61(3), 2012, s.1089-1169.

KOHNSTAMM, Jacob, “Statement of the Working Party on Current Discussions Regarding the Data Protection Reform Package”, Article 29 Data Protection Working Party, 27 February 2013, http:// ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2013/20130227_statement_dp_reform_package_en.pdf (Erişim 15.03.2015).

KORKMAZ, İbrahim, “Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme”, Türkiye Barolar Birliği Dergisi, Yıl 2016(124), s.81-152.

KORKMAZ, Yakup, “Bulut Bilişim: Türkiye İçin Fırsatlar”, Tübitak Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE), http://www.tubitak.gov.tr/tubitak_content_files/bilgigu­venligi/ sunular/Korkmaz_Bulut_Bilisim.ppt (Erişim 22.11.2014).

KORUYAN, Kutan/BİNGÖL, F.Itır, “Bulut Bilişim Hizmet Sağlayıcılarının Veriyi Koruyamamaları Durumuyla İlgili Türk, Avrupa Birliği ve Amerikan Hukukundaki Düzenlemeler”, Dokuz Eylül Üniversitesi Sosyal Bilimler Enstitüsü Dergisi, Y.2015, C.17, S.3, s.367-388.

KROES, Neelie, “Setting up the European Cloud Partnership”, World Economic Forum, Davos, Switzerland 26th January 2012, file:///D:/CLOUD%20COMPUTING/EU%20CC%20Partnership.pdf (Erişim 01.02.2015).

KUNER, Christhopher, “Data Protection Law and International Jurisdiction on the Internet-Part 2”, International Journal of Law and IT, 2010, 18(3), s.227-247.

KUNER, Christhopher, Transborder Data Flows and Data Privacy Law, Oxford 2013 (Transborder Data Flows).

KUNER, Christopher/CATE, Fred H./MILLARD, Christopher/ SVANTESSON, Dan Jerker B., “The Challenge of Big Data for Data Protection”, International Data Privacy Law Journal, 2012, Volume 2, Issue 2, s.47-49.

KÜZECİ, Elif, “Anayasal Bir Hak: Kişisel Verilerin Korunması”, Bilişim Dergisi, Ocak 2011, s.142-149, http://www.bilisimdergisi.org/ s128/pdf/142-149.pdf, (Erişim 29.04.2016).

KÜZECİ, Elif, Kişisel Verilerin Korunması, Turhan Kitabevi, Ankara 2010.

LAW SOCIETY, “Cloud Computing”, Yayınlanma tarihi 07.04.2014, http://lawsociety.org.uk/advice/practice-notes/cloud-com­puting/ (Erişim 18.11.2014).

LINTHICUM, David S., “Understanding the Symbiosis of Cloud Computing, Big Data and Mobile”, http://research.gigaom.com/ 2013/03/understanding-the-symbiosis-of-cloud-computing-big-data-and-mobile/ (Erişim 21.11.2014).

LINTHICUM, David, “HIPAA, cloud, and your business: What you need to know”, Cloudtech Yayınlanma tarihi 31.07.2014, http://www.cloudcomputing-news.net/news/2014/jul/31/hipaa-cloud-and-your-business-what-you-need-to-know/ (Erişim 23.01.2016).

LOMAS, Natasha, “Facebook Wins Court Challenge in Germany Against Its Real Names Policy”, Posted Feb 15, 2013, http:// techcrunch.com/2013/02/15/facebook-wins-court-challenge-in-germany-against-its-real-names-policy/ (Erişim 22.02.2015).

LORENZIN, Lisa, “IF-MAP Metadata for ICS Security”, Trusted Computing Group, Yayınlanma tarihi 10.16.2012, https://www. trustedcomputinggroup.org/files/resource_files/F4B066F6-1A4B-B294-D03CA965F5C37ED9/ICSJWG2012-IFMAP-Metadata-for-ICS-Security.pdf (Erişim 17.02.2016).

MARTIN, Nick, “Virtualization vs. Cloud: Let’s Get This Straight”, http://searchservervirtualization.techtarget.com/feature/ Virtualization-vs-cloud-Lets-get-this-straight (Erişim 17.12.2014).

McDONALD, Steve, “Legal and Quasi-Legal Issues in Cloud Computing Contracts”, http://net.educause.edu/section_params/conf/ ccw10/issues.pdf (Erişim 29.02.2016).

McKENDRICK, Joe, “What to do In Case Your Cloud Provider Falls of the Grid?”, Forbes, Yayınlanma tarihi 04.11.2013, http:// www. forbes.com/sites/joemckendrick/2013/11/04/what-to-do-in-case-your-cloud-provider-falls-off-the-grid/#373e50d53c53 (Erişim 31.01.2016).

MEMİŞ, Tekin, “Bulut Bilişimde Fikri Hak Sorunları”, Fikri Mülkiyet Hukuku Yıllığı 2013, Editör Tekin Memiş, Yetkin Yayınevi, Ankara 2015, s.315-346.

MEMMI, Gérard/KAPUSTA, Katarzyna/QIU, Han, “Data Protection: Combining Fragmentation, Encyrption, and Dispersion, an Intermediary Report”, Télécom ParisTech CNRS,LTCI,UMR 5141, June 2015, http://arxiv.org/ftp/arxiv/papers/1512/1512.02951.pdf (Erişim 10.03.2016).

MEYER, David, “Looks Like Data Will Keep Flowing from the E.U. to the U.S. After All”, Yayınlanma tarihi 2.2.2016, http://fortune. com/2016/02/02/looks-like-data-will-keep-flowing-from-the-eu-to-the-u-s-after-all/ (Erişim 18.02.2016).

MİSİLİ, Sinan, “Açık Denizlerin Serbestliği, Gemilerin Uyrukluğu ve Bayrak Devleti Münhasır Yargı Yetkisi Arasındaki İlişkinin Teamül Hukuku, Konvansiyonlar ve Mahkeme Kararları Işığında İncelenmesi”, Gazi Üniversitesi Hukuk Fakültesi Dergisi, C.XVIII, Y.2014, S.1, s.179-207.

MOEREL, Lokke, “Back to Basics: When Does EU Data Protection Law Apply?”, International Data Privacy Law, 2011, http://idpl.oxfordjournals.org/content/early/2011/01/24/idpl.ipq009.full.pdf+html (Erişim 15.03.2016).

MOWBRAY, Miranda, “The Fog over the Grimpen Mire: Cloud Computing and the Law”, Scripted, Volume 6, Issue 1, April 2009, s.129-146.

MULLIN, Joe, “Congress Tweaks US Video-Privacy Law so Netflix can get on Facebook”, Yayınlanma tarihi 21.12.2012, http:// arstechnica.com/tech-policy/2012/12/congress-tweaks-us-video-privacy-law-so-netflix-can-get-on-facebook/ (Erişim22.01.2016).

NARAYANAN, Arvind/SHMATIKOV, Vitaly, “De-anonymizing Social Networks”, http://www.cs.utexas.edu/~shmat/shmat_oak09.pdf (Erişim 18.03.2016).

NISHAWALA, Vipul N., “Subcontracting in the Cloud”, Yayınlanma tarihi 26.06.2013, http://www.sourcingspeak.com/2013/06/ subcontracting-in-the-cloud.html (Erişim 02.02.2016).

NIST, NIST Cloud Computing Standards Roadmap, July 2013, http://www.nist.gov/itl/cloud/upload/NIST_SP-500-291_Version-2_2013_June18_FINAL.pdf (Erişim 22.01.2016).

NIST, The NIST Definition of Cloud Computing, Special Publication 800-145, http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf (Erişim 21.11.2014) (Definition).

ORGAN, Shawn J./CORCORAN, Matthew C., “Your Web Site’s ‘Terms of Use’: Are They Enforceable?”, Privacy & Data Secu­rity Law Journal, 2008, http://www.jonesday.com/files/Publication/ 97a326a1-0077-4fc9-ac81-e82c265d0c82/Presentation/Publication­Attach­ment/a882327c-e026-49bf-91fb-ee3f9ca21ac0/Terms%20of% 20Use.pdf (Erişim 05.01.2016).

ORITO, Yohko/MURATA, Kiyoshi, “Privacy Protection in Japan: Cultural Influence on the Universal Value”, http://www.kisc. meiji.ac.jp/~ethicj/Privacy%20protection%20in%20Japan.pdf (Erişim 25.01.2015).

ÖZDAŞ, Muhammed Raşit, Bulut Bilişimin Kamuda Kullanımı Dünya Örnekleri ve Türkiye için Öneriler, T.C. Kalkınma Bakanlığı Bilgi Toplumu Dairesi, Nisan 2014.

ÖZDEMİR KOCASAKAL, Hatice, Elektronik Sözleşmeden Doğan Uyuşmazlıkların Çözümünde Uygulanacak Hukukun ve Yetkili Mahkemenin Tespiti, Vedat Kitapçılık, İstanbul 2003.

ÖZDEMİR, Hayrunnisa, Elektronik Haberleşme Alanında Kişisel Verilerin Özel Hukuk Hükümlerine Göre Korunması, Seçkin Yayınevi, Ankara 2009.

ÖZEL, Çağlar, “Sözleşme Dışı Sorumlulukta Yansıma Zarar ve Giderimine İlişkin Bazı Düşünceler”, AÜHFD, C.50, S.4, Y.2001, s.81-106.

PARLAKYİĞİT, Mehmet, “Hypervisor Nedir? Ve Hypervisor Türleri”, Yayınlanma tarihi 29.05.2013, http://www.parlakyigit.net/ hypervisor-nedir-ve-hypervisor-trleri/ (Erişim 17.02.2016).

PEARSON, Alan, “What’s the Difference Between Hashing and Encrypting?”, Security Innovation Europe Blog, Yayınlanma tarihi 18.12.2014, http://www.securityinnovationeurope.com/blog/whats-the-difference-between-hashing-and-encrypting (Erişim 10.01.2015).

PEARSON, Siani/CHARLESWORTH, Andrew, “Accountability as a Way Forward for Privacy Protection in the Cloud”, HP Laboratories, http://www.hpl.hp.com/techreports/2009/HPL-2009-178.pdf (Erişim 07.02.2016).

PEAT, MARWICK, MITCHELL & Co., The Data Protection Act Handbook, Bourne Press Limited, Great Britain 1984.

PEPITONE, Julianne, “Instagram Can Now Sell Your Photos for Ads”, CNN Money, 18 December 2012, http://money.cnn.com/2012/ 12/18/technology/social/instagram-sell-photos/ (Erişim 01.12.2014).

PONEMON INSTITUTE, “2014 Cost of Data Breach Study”, http://www-935.ibm.com/services/us/en/it-services/security-services/ cost-of-data-breach/ (Erişim 14.02.2015).

POULLET, Yves/VAN GYSEGHEM, Jean Marc/GÉRARD ve diğerleri, Cloud Computing and It’s Implications on Data Protection, Discussion Paper Research Centre on IT and Law (CRID), Council of Europe 2010, http://www.crid.be/pdf/public/6471.pdf (Erişim 12.02.2016).

PRACTICAL LAW, “Data Protection in China”, 01.06.2014, http://uk.practicallaw.com/4-519-9017# (Erişim 25.01.2015).

REİSOĞLU, Safa, Türk Borçlar Hukuku Genel Hükümler, Beta Yayınevi, 23.B., İstanbul 2012.

RODRIGUES, Thoran, “What Happens When Your Cloud Provider Goes Out of Business?”, Yayınlanma tarihi 23.10.2013, http://www.techrepublic.com/blog/the-enterprise-cloud/what-happens-when-your-cloud-provider-goes-out-of-business/ (Erişim 31.01.2016).

SARITAŞ, Hatice, “Kişisel Verilere İlişkin Düzenlemeler”, http:// 212.174.46.155/ismportal/belge/duzenlemeler1.pps (Erişim 22.12.2014).

SARIYAR, Selçuk, Kusurun Tanımı ve Öznelliği – Özel Hukukta Kusurun ve Ağırlığının Belirlenmesi, İstanbul 2008, http://www. hubyar.eu/SiteFiles/makaleler/kusurun%20tanimi%20ve%20oznelligi.pdf (Erişim 13.02.2016).

SARTOR, Giovanni/DE AVEZEDO CUNHA, Mario Viola, “The Italian Google-Case: Privacy, Freedom of Speech and Responsibility of Providers for User-Generated Contents”, International Journal of Law and Information Technology, Vol.18, No.4, Oxford University Press 2010, s.356-378.

SEN, Jaydip, “Security and Privacy Issues in Cloud Computing”, http://arxiv.org/ftp/arxiv/papers/1303/1303.4814.pdf (Erişim 16.02.2016).

SESHACHALA, Sudhi, “Disadvantages of Cloud Computing”, CloudAcademy Blog, Yayınlanma tarihi 17.03.2015, http://cloudaca­demy.com/blog/disadvantages-of-cloud-computing/ (Erişim 13.03.2016).

SEVLİ, Onur/KÜÇÜKSİLLE, Ecir Uğur, “Bulut Ortamında Adli Bilişim”, 6.Uluslararası Bilgi Güvenliği ve Kriptoloji Konferansı Bildiriler Kitabı, Ankara 2013, s.268-273.

SHORTLIFFE, Edward H./BARNETT, G. Octo, “Medical Data: Their Acquisition, Storage, and Use”, http://wang.ist.psu.edu/ course/07/IST497/files/CH02-FINAL.pdf (Erişim 15.01.2015).

SHOU, Chen/WANG, Rui/WANG, XiaoFeng/ZHANG, Kehuan, “Side Channel Leaks in Web Applications: A Reality Today, a Challenge Tomorrow”, http://research.microsoft.com/pubs/119060/ WebAppSide Channel-final.pdf (Erişim 26.02.2016).

SİRMEN, Lale, “Tüketici Hukukunun Amacı ve Özellikleri”, Yaşar Üniversitesi Elektronik Dergisi, Cilt 8, Özel Sayı 2013, s.2465-2476, http://journal.yasar.edu.tr/wp-content/uploads/2014/01/8-Lale-S%C4%B0RMEN.pdf (Erişim 14.02.2016).

SOTTO, Lisa J./TREACY, Bridget C./McLELLAN, Melinda L., “Privacy and Data Security Risks in Cloud Computing”, Feb. 3 , 2010, Electronic Commerce & Law Report, https://www.hunton.com/ files/Publication/4845e31f-63d8-4f9a-9a36-a074e4170225/Presentati­on/PublicationAttachment/6f52b2fd-2973-48cc-9f23-c941f1e19358/ Privacy-Data_Security_Risks_in_Cloud_Computing_2.10.pdf (Erişim 12.02.2016).

ŞENGÜL, Gökhan/BOSTAN, Atila, “Bulut Bilişimde Bilgi Güvenliği ve Standardizasyon Çalışmaları”, 6.Uluslararası Bilgi Güvenliği ve Kriptoloji Konferansı, 20-21 Eylül 2013, Ankara, s.263-267.

ŞİMŞEK, Oğuz, Anayasa Hukukunda Kişisel Verilerin Korunması, Beta Yayınevi, İstanbul 2008.

T.C. KALKINMA BAKANLIĞI, “2015-2018 Bilgi Tolumu Stratejisi ve Eylem Planı”, Aralık 2014, http://www.telkoder.org.tr/ docDownload.php?docID=2287 (Erişim 18.06.2016).

TEKNİK ALTYAPI ve BİLGİ GÜVENLİĞİ ÇALIŞMA GRUBU, “İnternet Veri Merkezi Uygulamalarının Ekonomisi ve Yapılabilirliği”, E-Dönüşüm Türkiye KDEP-2004 7 Numaralı Eylem Raporu, Şubat 2005, http://www.bilgitoplumu.gov.tr/wp-content/ uploads/2015/02/050200_Eylem07.pdf (Erişim 02.03.2015).

THE DAILY CONVERSATION, “Google’s Amazing Floating Data Centers”, https://www.youtube.com/watch?v=ZYNwIfCb440 (Erişim 25.02.2015).

THE EUROPEAN PRIVACY ADVISORY GROUP, White Paper on Key-Coded Data as a Data Protection Best Practice, September 2013, http://webcache.googleusercontent.com/search?q=cache: pruf_5RzNEoJ:www.epag-thinktank.eu/docs/whitepapers/EPAG_ Whitepaper_Key_Coded_Data.pdf+&cd=1&hl=tr&ct=clnk&gl=tr (Erişim14.01.2015).

TRAPPLER, Thomas, “If It’s in the Cloud: Get it on Paper: Cloud Computing Contract Issues”, Educause Review, Yayınlanma Tarihi 24.06.2010, http://er.educause.edu/articles/2010/6/if-its-in-the-cloud-get-it-on-paper-cloud-computing-contract-issues (Erişim 03.01.2015).

TRUSTED COMPUTING GROUP, Cloud Computing and Security – A Natural Match, April 2010, http://www.trustedcom­putinggroup.org/files/resource_files/1F4DEE3D-1A4B-B294-D0AD0742BA449E07/Cloud%20Computing%20and%20Security%20Whitepaper_July29.2010.pdf (Erişim 31.01.2016).

TRUSTED COMPUTING GROUP, Trusted Computing Group Timeline (TCG), February 2011, http://www.trustedcomputinggroup. org/files/resource_files/B8FF1287-1A4B-B294-D0423684DEB619FD/ TCG%20Timeline_rev%20Feb%202011.pdf (Erişim 17.02.2016).

TÜRK STANDARTLARI ENSTİTÜSÜ, Bulut Bilişim Güvenlik ve Kullanım Standardı (Taslak), 07.03.2014, https://www.tse.org. tr/upload/tr/dosya/icerikyonetimi/1202/17032015093613-3.pdf (Erişim 28.02.2016).

UNCULAR, Selen, İş İlişkisinde İşçinin Kişisel Verilerinin Korunması, Seçkin Yayınevi, Ankara 2014.

VENKATRAMAN, Archana, “Case Study: How eBay Uses Its Own Open Stack Private Cloud”, Computer Weekly, 18 June 2014, http://www.computerweekly.com/news/2240222899/Case-study-How-eBay-uses-its-own-OpenStack-private-cloud (Erişim 20.01.2015).

WAELE, Henri De, “Implications of Replacing the Data Protection Directive with a Regulation-A Legal Perspective”, Çeviren Nurullah Tekin, Küresel Bakış, Yıl 4, Sayı 13, Nisan 2014, s.75-79.

WALDEN, Ian, “Anonymising Personal Data”, International Journal of Law and Information Technology, Volume 10, Issue 2, s.224-237.

WALDEN, Ian, “Mine Host is Searching for a Neurality Principle!”, Computer Law and Security Review, Volume 26, Issue 2, 2010, s.203-209.

WEICHERT, Thilo, “Cloud Computing & Data Privacy”, The Sedona Conference Working Group Series, February 2011, https:// www.datenschutzzentrum.de/cloud-computing/20100617-cloud-computing-and-data-privacy.pdf (Erişim 04.04.2015).

WHITLEY, Edgar A./KANELLOPOULOU, Nadja, “Privacy and Informed Consent in Online Interactions: Evidence from Expert Focus Groups”, EnCoRe 2010; http://www.hpl.hp.com/breweb/ encoreproject/other_publications_material/EnCoRe%20Publication%20Privacy%20and%20Informed%20Consent%20%28ICIS%202010%29.pdf (Erişim 13.02.2015).

WHITTAKER, Zack, “Safe Harbor: Why EU Data Needs Protecting from US Law”, ZDNet, April 25, 2011, http://www.zdnet. com/article/safe-harbor-why-eu-data-needs-protecting-from-us-law/ (Erişim 26.01.2015).

YAVUZ, Cevdet, Borçlar Hukuku Dersleri (Özel Hükümler), Beta Yayınevi, İstanbul 2013.

YENİOCAK, Umut, “Borçlar Kanunu Hükümlerine Göre Genel İşlem Şartlarının Yargısal Denetimi”, Türkiye Barolar Birliği Dergisi, 2013(107), s.75-96.

YILDIZ, Mehmet Emre, Banka ve Kredi Kartlarının Kötüye Kullanılması Suçu, Adalet Yayınevi, Ankara 2015.

YIP, Elijah/HSIA, Martin E., “Confidentiality in the Cloud:The Ethics of Using Cloud Services in the Practice of Law”, The Computer & Internet Lawyer, Volume 31, Number 12, December 2014, http://www.cades.com/media/6129/eyip-the-computer-and-in­ternet-lawyer-dec-2014.pdf (Erişim 13.02.2016).

YÜKSEL CİVELEK, Dilek, Kişisel Verilerin Korunması ve Bir Kurumsal Yapılanma Önerisi, Bilgi Toplumu Dairesi Başkanlığı, Ankara 2011.

YÜKSEL, Hakan, Bulut Bilişim El Kitabı, Ocak 2012, https://yukselis.files.wordpress.com/2012/01/bulutbilic59fimelkitabc4b1.pdf (Erişim 29.02.2016).

ZETTER, Kim, “Medical Records: Stored in the Cloud, Sold on the Open Market”, Yayınlanma tarihi 19.10.2009, http://www.wired. com/threatlevel/2009/10/medicalrecords, (Erişim 18.03.2016).

YARARLANILAN İNTERNET SİTELERİ

http://aws.amazon.com/

http://conventions.coe.int/Treaty/en/Treaties/Html/108.htm

http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d5bc06ddf23b394ff5bf4fe5f57f4d4752.e34KaxiLc3eQc40LaxqMbN4ObhuOe0?text=&docid=152065&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=509575

http://devveri.com/big-data

http://docs.dpaq.de/8527-report_of_the_advisory_committee_to_ google_on_the_right_to_be_forgotten.pdf

http://ec.europa.eu/digital-agenda/en/european-cloud-computing-strategy

http://ec.europa.eu/justice/data-protection/document/review2012/ com_2012_11_en.pdf

http://ec.europa.eu/justice/data-protection/international-transfers/ binding-corporate-rules/index_en.htm

http://ec.europa.eu/justice/data-protection/reform/files/regulation

_oj_en.pdf

http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX: 61984CJ0168&from=EN

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX: 32002L0058:en:HTML

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L: 2001: 008:0001:0022:en:PDF

http://googleforwork.blogspot.com.tr/2010/03/disaster-recovery-by-google.html

http://kazanci.com.tr/gunluk/hgk-2014-4-56.htm

http://perspecsys.com/how-we-help/industry-compliance/glba/

http://roboearth.org/cloud_robotics/

http://searchcloudcomputing.techtarget.com/definition/public-cloud

http://searchdatacenter.techtarget.com/definition/IT

http://searchsecurity.techtarget.com/definition/homomorphic-encryption

http://searchsoftwarequality.techtarget.com/definition/stress-testing

http://searchtelecom.techtarget.com/definition/cloud-federation

http://stackoverflow.com/questions/9723040/what-is-the-difference-between-cloud-grid-and-cluster

http://tdk.gov.tr/

http://thecloudtutorial.com/cloudtypes.html

http://whatis.techtarget.com/definition/follow-the-sun-data-center

http://www.anayasa.gov.tr/files/insan_haklari_mahkemesi/adalet_divani/ABADtr.pdf

http://www.andbelgelendirme.com/iso-27001/

http://www.apec.org/Groups/Committee-on-Trade-and-Investment/~/media/Files/Groups/ECSG/05_ecsg_privacyframewk.ashx

http://www.b3lab.org/31-icetheme/icefilter-homepage/102-healthcare-7

http://www.b3lab.org/hakkimizda

http://www.barobirlik.org.tr/mevzuat/avukata_ozel/meslek_kurallari/tbb_meslek_kurallari.pdf

http://www.bilgisayarnedir.com/dvd-rom.html

http://www.cloudlegal.ccls.qmul.ac.uk/Research/researchpapers/46614.html

http://www.cnil.fr/fileadmin/documents/en/Act78-17VA.pdf

http://www.coe.int/en/web/conventions/full-list/-/conventions/ treaty/108

http://www.consumer.ftc.gov/sites/default/files/articles/pdf/pdf-0111-fair-credit-reporting-act.pdf

http://www.dell.com/learn/us/en/uscorp1/policies-privacy?c=us&l =en&s=corp#point_3

http://www.dictionary.com/browse/cyberattack

http://www.dunya.com/saglik/dijital-saglik-karnesi-geliyor-258085h.htm

http://www.elektrikport.com/teknik-kutuphane/bes-dakikada-algoritmayi-taniyin/8223#ad-image-0

http://www.eticaretsozlugu.com/sifreleme-encryption-nedir.html

http://www.export.gov/safeharbor/eu/eg_main_018476.asp

http://www.forbes.com/sites/reuvencohen/2013/04/16/the-cloud-hits-the-mainstream-more-than-half-of-u-s-businesses-now-use-cloud-computing/

http://www.gib.gov.tr/index.php?id=1079&uid=LAfMZgzO6CaGLVl7&type=sirkuler

http://www.google.com/apps/intl/en-GB/terms/premier_terms.html

http://www.google.com/patents/US7525207

http://www.hakanuzuner.com/index.php/microsoft-failover-cluster.html

http://www.ibanet.org/Article/Detail.aspx?ArticleUid=1a3bc510-4878-49cf-982f-172ac69a60b3

http://www.ihop.org.tr/dosya/coe/EC_DIRECTIVE_95_46_Kisisel_Veriler.pdf

http://www.iso.org/iso/catalogue_detail.htm?csnumber=59689

http://www.iso.org/iso/catalogue_detail.htm?csnumber=61498

http://www.iso27001security.com/html/27017.html

http://www.isokalitebelgesi.com/iso-27001-standartlari-nelerdir-iso-27000-standart-ailesi-iso-27001-standardi-nedir

http://www.justice.gov/archive/ll/highlights.htm

http://www.kaynet.net/index.php/coezuemlerimiz/sunucu/item/48-sunucu

http://www.kgm.adalet.gov.tr/

http://www.levelcloud.net/why-levelcloud/cloud-education-center/advantages-and-disadvantages-of-cloud-computing/

http://www.logicworks.net/logicworks-privacy-policy

http://www.merriam-webster.com/dictionary/hacker

http://www.nextlabs.com/html/?q=japan-data-protection-acts-pipa-pipl

http://www.oaic.gov.au/privacy/privacy-act/privacy-law-reform

http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm

http://www.priv.gc.ca

http://www.refworld.org/docid/3ddcafaac.html

http://www.reuters.com/article/2012/12/21/us-google-italy-privacy-idUSBRE8BK0JI20121221

http://www.right2info.org/resources/publications/case-pdfs/uk_uk-all-party-parliamentary-group-on-extraordinary-rendition-v.-ministry-of-defense

http://www.saglik.gov.tr/SBSGM/belge/1-24386/veri-guvenligi-hakkinda-genelge-2005153.html

http://www.salesforce.com/eu/crm/what-is-salesforce/

http://www.techopedia.com/definition/26711/on-demand-service

http://www.techopedia.com/definition/26965/lights-out-data-center

http://www.techopedia.com/definition/29526/rapid-elasticity

http://www.techopedia.com/definition/29545/resource-pooling

http://www.ticaretkanunu.net/turk-ticaret-kanunu-madde-gerekceleri-ikinci-kitap-ticaret-sirketlerimadde-124-644/

http://www.trustedcomputinggroup.org/resources/cloud_computing_and_security__a_natural_match

http://www.trustedcomputinggroup.org/resources/trusted_platform_module_tpm_summary

http://www.tuketicihukuku.org/index.php?option=com_content&view=article&id=316%3Atueketici-soezlemelerindeki-tahkim-art-gecersizdir-tueketici-uyumazlklar-kamu-duezeninden-olduundan-hakemler-vastas-ile-coezuelme-imkan-yoktur-uyumazlklara-tueketici-mahkemesinde-baklmas-kanuni-bir-zorunluluktur&Itemid=119

http://www.webmastersitesi.com/donanim-genel/29047-cookie-nedir-cerezler.htm

http://www.webopedia.com/TERM/H/hacker.html

http://www.wired.com/2014/11/hacker-lexicon-homomorphic-encryption/

http://www2.tbmm.gov.tr/d26/1/1-0541.pdf

https://azure.microsoft.com/tr-tr/overview/what-is-azure/

https://cloud.google.com/appengine/docs/whatisgoogleappengine

https://foia.state.gov/Learn/PrivacyAct.aspx

https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=0900001680078b37

https://sigortateklif.net/siber-risk-sigortasi.php

https://success.salesforce.com/answers?id=90630000000gnSyAAI

https://tr-tr.facebook.com/safety/groups/law/guidelines/

https://www.americanbar.org/groups/departments_offices/legal_technology_resources/resources/charts_fyis/cloud-ethics-chart.html

https://www.cisco.com/web/about/doing_business/legal/terms-conditions/cloud-services-acceptable-use-policy.html

https://www.datenschutzzentrum.de/presse/20130424-facebook-klarnamen-ovg-en.htm

https://www.facebook.com/about/privacy/

https://www.facebook.com/about/terms-updates/?notif_t=data_policy_notice

https://www.facebook.com/legal/terms

https://www.ftc.gov/about-ftc/what-we-do

https://www.ftc.gov/tips-advice/business-center/privacy-and-security/gramm-leach-bliley-act

https://www.google.com/work/apps/business/

https://www.gov.uk/eu-eea

https://www.iso.org/obp/ui/#iso:std:iso-iec:19086:-1:dis:ed-1: v1:en

https://www.janalbrecht.eu/fileadmin/material/Dokumente/DPR-Regulation-inofficial-consolidated-LIBE.pdf

https://www.law.cornell.edu/uscode/text/42/13925

https://www.tbmm.gov.tr/kanunlar/k6698.html

https://www.tbmm.gov.tr/sirasayi/donem26/yil01/ss28.pdf

https://www.techopedia.com/definition/26464/data-security

https://www.techopedia.com/definition/87/grid-computing

https://www.tse.org.tr/tr/icerikdetay/2/1/tse-nin-kurulusu.aspx

https://www.tse.org.tr/tr/icerikdetay/88/77/ts-iso-iec-27001-basvuru.aspx

https://www.tse.org.tr/tr/icerikdetay/950/3295/tsiso-15408-ortak-kriterler-genel-bilgi-.aspx

https://www.uoou.cz/en/VismoOnline_ActionScripts/File.ashx?id_org= 200156&id_dokumenty=1260https://www.zoho.com/privacy.html

www.iso.org

SONUÇ

Bulut bilişim teknolojisi kullanıcılarına pek çok kolaylık getirmektedir. Bulut bilişim teknolojisi sayesinde İnternet üzerinden dünyanın her yerinden buluttaki verilere ulaşmak mümkün hale gelmektedir. Bulut bilişim özellikle işletmeleri bir veri merkezi kurmanın masraflarından kurtarmaktadır. Ancak bulut bilişimin getirdiği imkânlardan yararlanırken birtakım sorunlarla da karşılaşılması söz konusudur. Bunlardan özellikle veri gizliliğinin ve güvenliğinin korunması öne çıkmaktadır. Bulutta veri gizliliğinin ve güvenliğinin sağlanmasında hem bulut hizmeti sağlayıcıya hem de kullanıcıya görev düşmektedir. Bulutta saklanan verilerin gizliliğinin ve güvenliğinin sağlanması konusunda hizmet sağlayıcılar daha iyi politikalar ve uygulamalar takip etmelidir. Kullanıcıların da bulut hizmet sağlayıcı seçiminde veri gizliliğinin ve güvenliğinin sağlanması için gerekli önlemlerin alınmış olduğuna dikkat etmeleri gerekir. Bu itibarla bulut kullanıcılarının öncelikle bulut bilişim sözleşmelerini dikkatle incelemeleri, bu sözleşmelerdeki gizlilik ve güvenliğe ilişkin hizmet sağlayıcının politikalarının neler olduğuna, herhangi bir uyuşmazlık durumunda yetkili mahkeme seçimi ya da hukuk seçiminin olup olmadığına varsa bunların ne olduğuna özellikle bakmaları gerekmektedir.

Bulut bilişim ile ilgili kanuni düzenlemelerin olması, hizmet standartlarının oluşturulması, veri koruma ile ilgili yeterli kanuni düzenlemelerin bulunması bulut kullanıcılarının pek çok kolaylık getiren bu teknolojiyi daha güvenle kullanmalarını sağlayacaktır. Burada denetim mekanizmasının getirilmesi de düşünülebilir. Bununla birlikte dışarıdan bir üçüncü kişinin bulut hizmeti sağlayıcıyı denetlemesinde de yine bu denetleyici bakımından veri gizliliğinin ve güvenliğinin sağlanması sorunları gündeme gelebilecektir.

Günümüzde ücretli veya ücretsiz hizmet veren pek çok bulut hizmeti sağlayıcı bulunmaktadır. Ancak kullanıcılardaki farkındalık arttıkça bu hizmet sağlayıcılar içinde gizlilik ve güvenliğe en çok önem veren, bunu en çok ön plana çıkaran bulut hizmeti sağlayıcılar tercih edilecektir. Farkındalığın artırılmasında ise eğitim öne çıkmaktadır[1]. Bu nedenle bulut hizmeti sağlayıcı seçerken ne kadar süredir faaliyet gösterdiği, güvenlik problemleri oluştuğunda kullanıcı ile yaptığı/ya­pacağı bildirimler ve hizmet sağlayıcının takip ettiği standartlar ve yetişmiş personele sahip olup olmamasına dikkat edilecektir[2].

Kişisel verilerin korunması ile ilgili her ülkede farklı hukuki düzenlemeler bulunmaktadır. Bulutta kişisel verilerin korunmasında çıkacak hukuki problemlerde bu kanunlar uygulanacaktır. Ancak bu düzenlemeler bulut bilişim için özel olarak hazırlanmış kanunlar değildir. Bu nedenle tüm paydaşlar özellikle bulut hizmeti sunanlar bulut teknolojisi ile ilgili son teknolojik gelişmeleri açıklayarak bu alandaki hukuki düzenlemelerin gözden geçirilmesine yardımcı olmalıdır. Diğer yandan çeşitli ülkelere yayılmış bulut federasyonlarındaki verilerin korunması hususunda yasaya uygunluğun sağlanması için uygun yazılım çerçeveleri ve çözümlerin geliştirilmesine ihtiyaç vardır[3].

Bulut bilişimde kişisel verilerin korunması için hukuki düzenlemelerin önemi büyüktür. Çünkü bulut hizmetinden yararlanan kullanıcı/müşteri hizmet sağlayıcıya saklaması veya işlemesi için verilerini sunduğunda veriler üzerindeki kontrolünü kaybetmektedir. Bulut hizmeti sağlayıcının buluttaki verileri hukuka aykırı şekilde kullanmasına karşı kullanıcıların korunması için yasal düzenlemeler yapılmaktadır. Bununla birlikte bulut bilişim yapısı gereği dünyanın herhangi bir yerinden ulaşılabilen bir hizmettir ve her ülkede veri koruma hukuku farklı olduğundan birtakım hukuki sorunlar doğabilmektedir. Avrupa Birliği’nde hâlihazırda yürürlükte olan Veri Koruma Direktifi uyarınca Avrupa Birliği ülkeleri ile veri aktarımı konusunda irtibata geçecek ülkelerin dolaylı olarak uygun seviyede korumayı sağlamaları gerekmektedir. Direktif bu bakımdan dünya çapında veri koruma konusunda seviyeyi yükselten bir etkiye sahiptir[4]. Bununla birlikte Veri Koruma Direktifi 1995 tarihli olması itibarıyla mevcut teknoloji karşısında oldukça eskimiş bir mevzuattır. Veri Koruma Direktifi pek çok açıdan eleştirilmektedir. Avrupa Birliği içinde özellikle uygulanacak hukuk bakımından Avrupa Birliği’nde yeknesaklığın artırılması amacıyla Genel Veri Koruma Tüzüğü hazırlanmıştır. Tüzük, 14 Nisan 2016 tarihinde Avrupa Birliği Parlamentosu’nda onaylanmıştır. Tüzük’ün 2018 yılında uygulaması başlayacaktır.

Türkiye’de ise Kişisel Verilerin Korunması Kanunu 24.03.2016 tarihinde Türkiye Büyük Millet Meclisi’nde kabul edilmiştir. Veri Koruma Direktifi esas alınarak hazırlanan bu Kanun’un yürürlüğe girmesiyle birlikte bulut bilişim alanında ortaya çıkacak buluttaki kişisel verilerin gizliliği ve güvenliği ile ilgili hukuki sorunların çözümünde uygulamanın izleyeceği yol Kanun’un bulut bilişim açısından nasıl uygulanacağını ve yorumlanacağını gösterecektir. 2018 yılı itibarıyla Genel Veri Koruma Tüzüğü’nün uygulanacak olması nedeniyle ilerleyen dönemlerde Tüzük’teki düzenlemelerin dikkate alınarak Kanun’da değişiklikler yapılması gündeme gelebilir. Genel Veri Koruma Tüzüğü bazı yönlerden eleştirilmekteyse de Direktif’e nazaran kişisel verilerin gizliliği ve güvenliği ile ilgili detaylı düzenlemeleriyle öne çıkmaktadır.

Bulut bilişimde düşük maliyetli hizmet sunan bulut hizmeti sağlayıcılara elverişsiz ve aşırı derecede sorumluluk yüklemek veri koruma konusunda çözüm oluşturmayacaktır. Orantısız bir şekilde kontrolün artırılması hizmet sağlayıcıların fiyatları yükseltmesine neden olabilir. Burada olması gereken iki yaklaşım söz konusudur. Bunlardan biri kullanıcı farkındalığının artırılması ve ikincisi de tüm paydaşların katılımı ile bulut hizmeti standartlarının belirlenmesi ve gelişmelerin desteklenmesidir. Böyle olursa kullanıcıların sertifikalı ve standartlara uygun hizmet veren bulut hizmeti sağlayıcıları seçme imkânı doğmuş olur[5].

Bulut bilişimde veri güvenliğinin ve gizliliğinin sağlanması konusunda Türkiye’de genel standart kurallar bulunmamaktadır. Bu konuda yasal düzenlemelere ve bilgi güvenliği ile ilgili politikaların oluşturulmasına ihtiyaç vardır. Bulut hizmeti verecek olan şirketlerin faaliyetlerini icra ederken kullanacakları bilgi sistemlerinin yönetimi amacıyla uymak zorunda oldukları usul ve esasları gösteren bir düzenlemenin bulunmasına ihtiyaç vardır[6]. Bulut bilişim alanında Türk Standartları Enstitüsü tarafından hazırlanmış bir Bulut Bilişim ve Güvenlik Standardı Taslağı mevcuttur. Enstitü, Uluslararası Standardizasyon Örgütü’nün hazırladığı kuralları da takip etmekte ve yayınlamaktadır. Bu itibarla yakın zamanda bulut bilişim alanında standartların kabul edilmesi kullanıcıların menfaatine olacaktır. Bulut bilişimde standartların kabul edilmesi bulut hizmeti sağlayıcıların hizmet kalitesini yükselteceği gibi uyuşmazlıklarda teknik bilirkişi incelemelerinde ve bulut hizmeti sağlayıcıların veri gizliliği ve güvenliğinin korunması konusunda üzerine düşen kanuni ve sözleşmesel yükümlülükleri yerine getirip getirmediklerinin değerlendirilmesinde yardımcı olacaktır.

GİRİŞ

Teknoloji her geçen gün hızla ilerlemektedir. Teknoloji alanındaki yenilikler her alanı etkilediği gibi hukuku da etkilemektedir. Günümüzde zaman ve para kadar değerli olan bir şey daha varsa o da veridir. Francis Bacon’un dediği gibi bilgi güçtür. Bugün verilerden bilgi elde edilebilmektedir. Dolayısıyla verilerin kontrolü önem arz etmektedir. İnternet[1] ile birlikte verilerin saklanması, iletilmesi kolaylaşmış ve hızlanmıştır. Bununla birlikte verilerin korunması ile ilgili hukuki sorunlar gündeme gelmektedir. Kişisel verilerin korunması kişilik hakları ile yakından ilgilidir. Aynı zamanda kişisel veriler ticari değer de taşımaktadır. Kişisel verilerin çalınması, satılması bundan gelir elde edilmesi mümkündür.

Günümüzde her ne kadar kendi veri merkezlerine sahip olan işletmeler olsa da dış kaynak kullanan, bulut bilişim teknolojisinden yararlanan işletmeler de vardır. Gün geçtikçe daha çok işletme bilgi teknolojisi[2] uygulamalarını ve verilerini buluta taşımaktadırlar. Böylelikle müşterilerinin yeni taleplerini karşılayabilmektedirler. Bilgi teknolojileri altyapısının yönetimi ve işletilmesi bulut bilişim sayesinde dış kaynaktan temin edilebilmektedir. Bu sayede işletmeler kendi asıl uz­manlık alanlarına daha fazla yoğunlaşabilmektedir. Bulut bilişim teknolojisi işletmelerin ihtiyacına göre şekillendirilebilmektedir. Örneğin ürünlerini İnternet üzerinden satan bir işletme bu satışlarını tamamen değiştirecek bir uygulama geliştirdiğinde bu uygulamayı müşterilerine sunmadan önce stres testine[3] sokarak denemek isteyebilir. Bunun için bir bulut altyapısı(IaaS) kullanılabilir. Örneğin bir işletmede yirmi yıldan bu yana elektronik postalar saklanıyorsa bu elektronik postalar veri merkezinde çok fazla yer kaplayacaktır. Bu durumda bir bulut yazılımı kullanılabilir(SaaS). Yine bir işletme iş modelini değiştirebilecek yeni bir deneysel uygulama geliştirebilir. Uygulama başarı kazanıncaya kadar önce bulutta kullanıma açılabilir. Bunun için de bulut bir platform olarak kullanılabilir (PaaS)[4].

Bulut hizmetinden hizmet sağlayıcı ile yapılan bir sözleşme ile yararlanılmaktadır. Bu sözleşmeden ise sorumluluk, garanti talepleri, fikri mülkiyet hakları da dâhil olmak üzere pek çok konuda uyuşmazlıklar çıkabilir. Ayrıca sözleşmelerin geçerliliği, uyuşmazlıklara hangi hukukun uygulanacağı, ispat problemleri ile ilgili hukuki sorunlar da söz konusudur[5]. Bu sorunların her biri tek başına ayrı birer çalışmanın konusunu oluşturabilecek kadar geniştir.

Bulut bilişim bilgisayarlı/bilgisayımsal gücün (computational power), veri depolamanın ve diğer imkânların uzaktaki üçüncü bir kişiden alınmasını (outsource) sağlamaktadır. Bulut bilişim hizmetini sağlayanın ve bundan yararlanan kullanıcının çeşitli hakları bulunmaktadır. Esasen bulut bilişim hukukun üç temel alanını ilgilendirmektedir. Bunlardan ilki fikri mülkiyet hukukudur. Zira bulutta yer alan veri ve uygulamaların ticari sır içermesi veya telif haklarına ya da patent korumasına konu olması mümkündür. İkinci olarak bulut yapısını sağlayan veri merkezlerinin işlemesi için gerekli altyapı tesisatında (sunucular ve başka ağ donanımları gibi) çok fazla enerji gerektiren aygıtların gerekli olması ve dolaylı olarak bunların karbondioksit üretmesi nedeni ile bulut bilişim çevre hukukunu ilgilendirmektedir. Bulut bilişimin ilgili olduğu bir diğer hukuk alanı ise veri koruma hukukudur[6]. Bu çalışmanın konusunu ise buluttaki kişisel verilerin korunması oluşturmaktadır.

Bulut bilişime güvenin artırılması için güvenlik ve gizliliğin sağlanması büyük önem taşımaktadır. Bulutta depolanan verilerin silinebilmesi, depolanan verilerin diğer bulutlar arasında transferi, verilere erişimde kullanıcılara sağlanacak daha fazla kontrol sağlayacak uygulama ve hizmetlerin olması gerektiği de Avrupa Komisyonu’nun hazırlattırdığı araştırma raporlarında belirtilmektedir[7].

Güvenlik ve gizlilik açısından bulut bilişim sözleşmesinde yer alan şartların içeriği de önem taşımaktadır. Eğer bulut hizmeti sağlayıcının bulut kullanıcısı ile arasındaki sözleşmede yer alan hizmet şartları uyarınca bulut kullanıcısının verilerinin hizmet sağlayıcı tarafından kullanılması mümkün ise hizmet sağlayıcı bunları kopyalayabilir, değiştirebilir, yayınlayabilir, dağıtabilir ve paylaşabilir[8]. Hizmet sağlayıcının sahip olduğu hakların kapsamı bulut kullanıcısının hukuki durumunu etkileyebilir. Örneğin hizmet sağlayıcının verileri kullanması veya başka bir kişi ile paylaşması verileri buluta yükleyen bulut kullanıcısının sorumluluğunu gerektiren bir kuralın ihlali teşkil edebilir. Bir bulut kullanıcısının verileri uygun şekilde koruyamaması ve üçüncü bir kişinin bu verileri kullanması durumunda bulut kullanıcısının hukuki ve cezai sorumluluğu söz konusu olabilir[9].

Bu çalışmada öncelikle bulut bilişim teknolojisi ile ilgili genel bilgi verilmiştir. Daha sonra kişisel verilerin korunması ile ilgili düzenlemelere ve bulutta hangi verilerin kişisel veri teşkil edeceğine değinilmiştir. Çalışmanın devamında bulut bilişimde aktörler ve bunların hukuki sorumluluklarına yer verilmiştir. Son olarak buluttaki verilerin gizliliği ve güvenliği konusu ele alınmıştır. Açıklamalarda Avrupa Birliği’nde halen yürürlükte olan Veri Koruma Direktifi ve ülkemizde 24.03.2016 tarihinde kabul edilen Kişisel Verilerin Korunması Kanunu’ndaki düzenlemeler temel alınmıştır. Çalışmada Aralık 2015 tarihinde Avrupa Birliği Parlamentosu ve Avrupa Komisyonu’nun metni üzerinde anlaştığı ve Avrupa Birliği Parlamentosu’nun 14 Nisan 2016 tarihinde onayladığı Genel Veri Koruma Tüzüğü’ne de değinilmiştir.